本文目录一览:
网管如何清除内核级的木马病毒
网吧深受木马病毒的烦恼,一般的杀毒工具可以把病毒查杀掉,但是对于内核级木马病毒,能够穿透还原技术,一般的技术人员是无法解决的。作为网吧热点,针对这样难以对付的病毒,小编分享到清除内核级木马病毒的方法。
1.首先是要安装一个具备进程管理功能的安全工具软件,查看系统进程,可有经验的技术人员对可疑进程是可以识别的,点击其中的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll。
2.下一步可以看到多个被明显标识出的系统服务,说明这些服务都不是系统自身的服务。比如像是一个和名为Hack的服务较为可疑,因为它的名称和木马模块的名称相同。
3.找出工具软件中与文件管理相关的标签,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,。
4.找到了病毒存在的根源,接下来就是病毒的查杀了:
a,在进程管理选项中首先找到被明显标识的IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它;
b,接着点击服务管理选项,选择名为Hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除;
c,再选择程序中的文件管理选项,对木马文件进行最后的清除操作;
d,在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击;
e,然后重新启动系统再进行查看,确认木马是否被清除干净。
按照小编分享的方法,对于这些穿透还原的内核级病毒,可以做到有效的查杀,以防传染到更多的机器,种植在电脑,希望对你们有帮助。
计算机病毒有哪些类型?
一、宏病毒.
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
二、CIH病毒.
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,集嘉通讯公司(技嘉子公司)手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。
最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。
三、蠕虫病毒.
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中.
四、木马病毒.
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
木马病毒 发展历史
木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:
第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。
第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。
计算机病毒的特点 :
(1) 寄生性
(2) 传染性
(3) 潜伏性
(4) 隐蔽性
内核级木马是什么?
内核级木马是使用内核Rootkit技术来隐藏自身的木马病毒。
1、内核级木马病毒产生的原因:
传统用户级木马,由于一些主动防御软件、杀毒软件的免费使用,以及这些工具对其所用伎俩了如指掌、狠杀猛截,危害性已呈逐年下降的趋势。
这就促使了一些木马研究者去探究木马在内核中的隐藏技术,以期达到更好的隐藏效果,逃避传统工具的检测。在这种趋势下,内核级木马病毒也应运而生。
2、内核级木马病毒的作用原理:
内核级木马主要使用内核Rootkit技术来实现对其自身的隐藏。传统的主从型内核级木马的木马功能是在应用层实现的,内核只是起到一个协助隐藏的作用;而应用层的程序具有诸多的特性。
扩展资料:
一、木马病毒传播迅速,主要归因于其传播方式的多样性。内核木马及其他木马病毒的传播方式主要有以下几种:
1、利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就将病毒植入到电脑中.
2、利用系统漏洞进行传播,当计算机存在漏洞,就成为木马病毒攻击的对象。
3、利用邮件进行传播,很多陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,病毒就被激活。
4、利用远程连接进行传播。
5、利用网页进行传播,在浏览网页时会经常出现很多跳出来的页面,这种页面就是病毒驻扎的地方。
6、利用蠕虫病毒进行传播等。
二、木马病毒对用户计算机造成的危害很严重,具体如下:
木马病毒对计算机的直接破坏方式是改写磁盘,对计算机数据库进行破坏,给用户带来不便。当木马破坏程序后,使得程序无法运行,给计算机的整体运行带来严重的影响。
另外,一些木马可以通过磁盘的引导区进行,病毒具有强烈的复制功能,把用户程序传递给外部链接者。还可以更改磁盘引导区,造成数据形成通道破坏。病毒也通过大量复制抢占系统资源,对系统运行环境进行干扰,影响计算机系统运行速度。
参考资料来源:百度学术-内核级木马隐藏技术研究
参考资料来源:百度百科-木马病毒